准备:
重置虚拟机,一个0网段,一个250网段
firewalld可以直接用协议的名称,iptables限制的是协议的端口
stop停止
mask冻结弃用
--------------------------------------------------------------------------------
[root@server ~]# systemctl status firewalld.service
firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
Active: active (running) since Thu 2017-06-08 14:53:55 EDT; 38min ago
Main PID: 477 (firewalld)
CGroup: /system.slice/firewalld.service
└─477 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
Jun 08 14:53:55 localhost systemd[1]: Started firewalld - dynamic firewall ...n.
Jun 08 15:21:45 localhost firewalld[477]: 2017-06-08 15:21:45 ERROR: UNKNOWN...0
Jun 08 15:21:45 localhost firewalld[477]: 2017-06-08 15:21:45 ERROR: UNKNOWN...1
Jun 08 15:23:03 localhost firewalld[477]: 2017-06-08 15:23:03 ERROR: ZONE_AL...T
Jun 08 15:23:24 localhost firewalld[477]: 2017-06-08 15:23:24 ERROR: ZONE_AL...T
Hint: Some lines were ellipsized, use -l to show in full.
[root@server ~]# systemctl stop iptables
[root@server ~]# systemctl mask iptables.service
ln -s '/dev/null' '/etc/systemd/system/iptables.service'
[root@server ~]# systemctl start firewalld
[root@server ~]# systemctl enable firewalld
----------------------------------------------------------------------------------
查看firewalld的状态:
# firewall-cmd --state
查看当前活动的区域,并附带一个目前分配给它们的接口列表:
# firewall-cmd --get-active-zones
查看默认区域:
# firewall-cmd --get-default-zone
查看所有可用区域:
# firewall-cmd --get-zones
列出指定域的所有设置:
# firewall-cmd --zone=public --list-all
列出所有预设服务:
# firewall-cmd --get-services
(这样将列出 /usr/lib/firewalld/services/ 中的服务器名称。注意:配置文件是以服务本身命名的
service-name. xml)
列出所有区域的设置:
# firewall-cmd --list-all-zones
设置默认区域:
# firewall-cmd --set-default-zone=dmz
设置网络地址到指定的区域:
# firewall-cmd --permanent --zone=internal --add-source=172.25.0.0/24(安装apache可以在网页上测定)
(--permanent参数表示永久生效设置无论在什么状态下,如果没有指定--zone参数,那么会加入默认区域)
删除指定区域中的网路地址:
# firewall-cmd --permanent --zone=internal --remove-source=172.25.0.0/24(安装apache可以在网页上测定)
添加、改变、删除网络接口:
# firewall-cmd --permanent --zone=trusted --add-source=172.25.254.205(安装apache可以在网页上测定)
# firewall-cmd --permanent --zone=internal --add-interface=eth0
# firewall-cmd --permanent --zone=internal --change-interface=eth0
# firewall-cmd --permanent --zone=internal --remove-interface=eth0
添加、删除服务:
# firewall-cmd --permanent --zone=public --add-service=smtp
# firewall-cmd --permanent --zone=public --remove-service=smtp
列出、添加、删除端口:
# firewall-cmd --zone=public --list-ports
# firewall-cmd --permanent --zone=public --add-port=8080/tcp
# firewall-cmd --permanent --zone=public --remove-port=8080/tcp
重载防火墙:
# firewall-cmd --reload
(注意:这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项)
firewalld的规则被保存在/etc/firewalld目录下的文件中,你也可以直接编辑这些文件达到
配置防火墙的目的。/usr/lib/firewalld目录下的内容是不可以被编辑的,但可以用做默认
模板。
~~~~~~
通过 firewall-cmd 工具,可以使用 --direct 选项在运行时间里增加或者移除链。
如果不熟悉 iptables ,使用直接接口非常危险,因为您可能无意间导致防火墙被入侵。
直接端口模式适用于服务或者程序,以便在运行时间内增加特定的防火墙规则。
直接端口模式添加的规则优先应用。
添加规则:
# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 0 -p tcp --dport 80 -j
ACCEPT
删除规则:
# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 10 -p tcp --dport 80 -j
ACCEPT
列出规则:
# firewall-cmd --direct --get-all-rules
~~~~~~
source
指定源地址,可以是一个ipv4/ipv6的地址或网段,不支持使用主机名。
destination
指定目的地址,用法和source相同。
service
服务名称是 f irewalld 提供的其中一种服务。要获得被支持的服务的列表,输入以下命令:
firewall-cmd --get-services 。命令为以下形式:
service name= service_name
port
端口既可以是一个独立端口数字,又或者端口范围,例如,5060-5062。协议可以指定为 tcp 或
udp 。命令为以下形式:
port port= number_or_range protocol= protocol
protocol
协议值可以是一个协议 ID 数字,或者一个协议名。预知可用协议,请查阅 /etc/protocols。
命令为以下形式:
protocol value= protocol_name_or_ID
icmp-block
用这个命令阻绝一个或多个ICMP类型。IC MP 类型是 firewalld支持的ICMP类型之一。
要获得被支持的ICMP类型列表,输入以下命令: firewall-cmd --get-icmptypes
icmp-block在内部使用 reject 动作,因此不允许指定动作。命令为以下形式:
icmp-block name= icmptype_name
masquerade
打开规则里的 IP 伪装。用源地址而不是目的地址来把伪装限制在这个区域内。不允许
指定动作。
forward-port
从一个带有指定为 tcp 或 udp 协议的本地端口转发数据包到另一个本地端口,或另一台
机器,或另一台机器上的另一个端口。port 和 to-port 可以是一个单独的端口数字,或一个
端口范围。而目的地址是一个简单的 IP 地址。不允许指定动作,命令使用内部动作
accept 。命令为以下形式:
forward-port port= number_or_range protocol= protocol /
to-port= number_or_range to-addr= address
log
注册含有内核记录的新连接请求到规则中,比如系统记录。你可以定义一个前缀文本,
记录等级可以是 emerg、alert、crit、error、warning、notice、info 或者 debug 中的
一个。命令形式:
log [prefix= prefix text ] [level= log level ] limit value= rate/duration
(等级用正的自然数 [1, ..] 表达,持续时间的单位为 s 、 m 、 h 、 d 。 s 表示秒, m 表示
分钟, h表示小时, d 表示天。最大限定值是 1/d ,意为每天最多有一条日志进入。)
audit
审核为发送到 aud i td 服务的审核记录来注册提供了另一种方法。审核类型可以是
ACCEPT、REJECT或DROP中的一种,但不能在 audit命令后指定,因为审核类型将会从规
则动作中自动收集。审核不包含自身参数,但可以选择性地增加限制。审核的使用是可选
择的。选择 accept 所有新的连接请求都会被允许。选择 reject ,连接将被拒绝,连接来源
将接到一个拒绝信息。拒绝的类型可以被设定为使用另一种值。选择 drop , 所有数据
包会被丢弃,并且不会向来源地发送任何信息。
多语言命令的格式 :
在这个部分,所有命令都必须以 root 用户身份运行。增加一项规则的命令格式如下:
firewall-cmd [--zone=zone] --add -rich-rule='rule' [--timeout=seconds]
这样将为 zone 分区增加一项多语言规则 rule 。这个选项可以多次指定。如果分区被省
略,将使用默认分区。如果出现超时,规则将在指定的秒数内被激活,并在之后被自动移除
移除一项规则:
firewall-cmd [--zone=zone] --remove-rich-rule='rule'
检查一项规则是否存在:
firewall-cmd [--zone=zone] --query-rich-rule='rule'
这将复查是否已经为区域增加一个多语言规则 。如果可用,屏幕会显示 yes,退出状态为0
; 否则,屏幕显示 no ,退出状态为 1。如果省略 zone,默认区域将被使用。
列出所有多语言规则:
firewall-cmd --list-rich-rules
添加规则:
# firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.10" accept'
允许172.25.0.10主机所有连接。
# firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'
每分钟允许2个新连接访问ftp服务。
# firewall-cmd --add-rich-rule='rule service name=ftp log limit value="1/m" audit accept'
同意新的 IP v4 和 IP v6 连接 FT P ,并使用审核每分钟登录一次。
# firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.0/24"
service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
允许来自172.25.0.0/24地址的新 IPv4连接连接TFTP服务,并且每分钟记录一次。
# firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
timeout=10
当使用source和destination指定地址时,必须有family参数指定ipv4或ipv6。如果指定超时,
name="dns" audit limit value="1/h" reject' --timeout=300
拒绝所有来自2001:db8::/64子网的主机访问dns服务,并且每小时只审核记录1次日志。
# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source
address=172.25.0.0/24 service name=ftp accept'
允许172.25.0.0/24网段中的主机访问ftp服务
# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" forward-port
to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"'
转发来自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012
~~~~~~
伪装和端口转发(一定要打开masquerade)
伪装:
# firewall-cmd --permanent --zone=< ZONE > --add-masquerade
# firewall-cmd --permanent --zone=< ZONE > --add-rich-rule='rule family=ipv4 source
# firewall-cmd --permanent --zone=< ZONE > --add-forward-port=
port=80:proto=tcp:toport=8080:toaddr=172.25.0.10
# firewall-cmd --permanent --zone=< ZONE > --add-rich-rule='rule family=ipv4 source
管理SELinux端口标签
列出端口标签:
# semanage port -l
添加端口标签:
# semanage port -a -t http_port_t -p tcp 82
删除端口标签:
# semanage port -d -t http_port_t -p tcp 82
Lab:
1. reset serverX and desktopX
2. 运行脚本设置serverX: lab selinuxport setup
3. 在serverX上派错后,在desktopX上运行脚本测试: lab selinuxport grade
重置虚拟机,一个0网段,一个250网段
firewalld可以直接用协议的名称,iptables限制的是协议的端口
stop停止
mask冻结弃用
--------------------------------------------------------------------------------
[root@server ~]# systemctl status firewalld.service
firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
Active: active (running) since Thu 2017-06-08 14:53:55 EDT; 38min ago
Main PID: 477 (firewalld)
CGroup: /system.slice/firewalld.service
└─477 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
Jun 08 14:53:55 localhost systemd[1]: Started firewalld - dynamic firewall ...n.
Jun 08 15:21:45 localhost firewalld[477]: 2017-06-08 15:21:45 ERROR: UNKNOWN...0
Jun 08 15:21:45 localhost firewalld[477]: 2017-06-08 15:21:45 ERROR: UNKNOWN...1
Jun 08 15:23:03 localhost firewalld[477]: 2017-06-08 15:23:03 ERROR: ZONE_AL...T
Jun 08 15:23:24 localhost firewalld[477]: 2017-06-08 15:23:24 ERROR: ZONE_AL...T
Hint: Some lines were ellipsized, use -l to show in full.
[root@server ~]# systemctl stop iptables
[root@server ~]# systemctl mask iptables.service
ln -s '/dev/null' '/etc/systemd/system/iptables.service'
[root@server ~]# systemctl start firewalld
[root@server ~]# systemctl enable firewalld
----------------------------------------------------------------------------------
查看firewalld的状态:
# firewall-cmd --state
查看当前活动的区域,并附带一个目前分配给它们的接口列表:
# firewall-cmd --get-active-zones
查看默认区域:
# firewall-cmd --get-default-zone
查看所有可用区域:
# firewall-cmd --get-zones
列出指定域的所有设置:
# firewall-cmd --zone=public --list-all
列出所有预设服务:
# firewall-cmd --get-services
(这样将列出 /usr/lib/firewalld/services/ 中的服务器名称。注意:配置文件是以服务本身命名的
service-name. xml)
列出所有区域的设置:
# firewall-cmd --list-all-zones
设置默认区域:
# firewall-cmd --set-default-zone=dmz
设置网络地址到指定的区域:
# firewall-cmd --permanent --zone=internal --add-source=172.25.0.0/24(安装apache可以在网页上测定)
(--permanent参数表示永久生效设置无论在什么状态下,如果没有指定--zone参数,那么会加入默认区域)
删除指定区域中的网路地址:
# firewall-cmd --permanent --zone=internal --remove-source=172.25.0.0/24(安装apache可以在网页上测定)
添加、改变、删除网络接口:
# firewall-cmd --permanent --zone=trusted --add-source=172.25.254.205(安装apache可以在网页上测定)
# firewall-cmd --permanent --zone=internal --add-interface=eth0
# firewall-cmd --permanent --zone=internal --change-interface=eth0
# firewall-cmd --permanent --zone=internal --remove-interface=eth0
添加、删除服务:
# firewall-cmd --permanent --zone=public --add-service=smtp
# firewall-cmd --permanent --zone=public --remove-service=smtp
列出、添加、删除端口:
# firewall-cmd --zone=public --list-ports
# firewall-cmd --permanent --zone=public --add-port=8080/tcp
# firewall-cmd --permanent --zone=public --remove-port=8080/tcp
重载防火墙:
# firewall-cmd --reload
(注意:这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项)
firewalld的规则被保存在/etc/firewalld目录下的文件中,你也可以直接编辑这些文件达到
配置防火墙的目的。/usr/lib/firewalld目录下的内容是不可以被编辑的,但可以用做默认
模板。
~~~~~~
通过 firewall-cmd 工具,可以使用 --direct 选项在运行时间里增加或者移除链。
如果不熟悉 iptables ,使用直接接口非常危险,因为您可能无意间导致防火墙被入侵。
直接端口模式适用于服务或者程序,以便在运行时间内增加特定的防火墙规则。
直接端口模式添加的规则优先应用。
添加规则:
# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 0 -p tcp --dport 80 -j
ACCEPT
删除规则:
# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 10 -p tcp --dport 80 -j
ACCEPT
列出规则:
# firewall-cmd --direct --get-all-rules
~~~~~~
source
指定源地址,可以是一个ipv4/ipv6的地址或网段,不支持使用主机名。
destination
指定目的地址,用法和source相同。
service
服务名称是 f irewalld 提供的其中一种服务。要获得被支持的服务的列表,输入以下命令:
firewall-cmd --get-services 。命令为以下形式:
service name= service_name
port
端口既可以是一个独立端口数字,又或者端口范围,例如,5060-5062。协议可以指定为 tcp 或
udp 。命令为以下形式:
port port= number_or_range protocol= protocol
protocol
协议值可以是一个协议 ID 数字,或者一个协议名。预知可用协议,请查阅 /etc/protocols。
命令为以下形式:
protocol value= protocol_name_or_ID
icmp-block
用这个命令阻绝一个或多个ICMP类型。IC MP 类型是 firewalld支持的ICMP类型之一。
要获得被支持的ICMP类型列表,输入以下命令: firewall-cmd --get-icmptypes
icmp-block在内部使用 reject 动作,因此不允许指定动作。命令为以下形式:
icmp-block name= icmptype_name
masquerade
打开规则里的 IP 伪装。用源地址而不是目的地址来把伪装限制在这个区域内。不允许
指定动作。
forward-port
从一个带有指定为 tcp 或 udp 协议的本地端口转发数据包到另一个本地端口,或另一台
机器,或另一台机器上的另一个端口。port 和 to-port 可以是一个单独的端口数字,或一个
端口范围。而目的地址是一个简单的 IP 地址。不允许指定动作,命令使用内部动作
accept 。命令为以下形式:
forward-port port= number_or_range protocol= protocol /
to-port= number_or_range to-addr= address
log
注册含有内核记录的新连接请求到规则中,比如系统记录。你可以定义一个前缀文本,
记录等级可以是 emerg、alert、crit、error、warning、notice、info 或者 debug 中的
一个。命令形式:
log [prefix= prefix text ] [level= log level ] limit value= rate/duration
(等级用正的自然数 [1, ..] 表达,持续时间的单位为 s 、 m 、 h 、 d 。 s 表示秒, m 表示
分钟, h表示小时, d 表示天。最大限定值是 1/d ,意为每天最多有一条日志进入。)
audit
审核为发送到 aud i td 服务的审核记录来注册提供了另一种方法。审核类型可以是
ACCEPT、REJECT或DROP中的一种,但不能在 audit命令后指定,因为审核类型将会从规
则动作中自动收集。审核不包含自身参数,但可以选择性地增加限制。审核的使用是可选
择的。选择 accept 所有新的连接请求都会被允许。选择 reject ,连接将被拒绝,连接来源
将接到一个拒绝信息。拒绝的类型可以被设定为使用另一种值。选择 drop , 所有数据
包会被丢弃,并且不会向来源地发送任何信息。
多语言命令的格式 :
在这个部分,所有命令都必须以 root 用户身份运行。增加一项规则的命令格式如下:
firewall-cmd [--zone=zone] --add -rich-rule='rule' [--timeout=seconds]
这样将为 zone 分区增加一项多语言规则 rule 。这个选项可以多次指定。如果分区被省
略,将使用默认分区。如果出现超时,规则将在指定的秒数内被激活,并在之后被自动移除
移除一项规则:
firewall-cmd [--zone=zone] --remove-rich-rule='rule'
检查一项规则是否存在:
firewall-cmd [--zone=zone] --query-rich-rule='rule'
这将复查是否已经为区域增加一个多语言规则 。如果可用,屏幕会显示 yes,退出状态为0
; 否则,屏幕显示 no ,退出状态为 1。如果省略 zone,默认区域将被使用。
列出所有多语言规则:
firewall-cmd --list-rich-rules
添加规则:
# firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.10" accept'
允许172.25.0.10主机所有连接。
# firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'
每分钟允许2个新连接访问ftp服务。
# firewall-cmd --add-rich-rule='rule service name=ftp log limit value="1/m" audit accept'
同意新的 IP v4 和 IP v6 连接 FT P ,并使用审核每分钟登录一次。
# firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.0/24"
service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
允许来自172.25.0.0/24地址的新 IPv4连接连接TFTP服务,并且每分钟记录一次。
# firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
丢弃所有icmp包
timeout=10
当使用source和destination指定地址时,必须有family参数指定ipv4或ipv6。如果指定超时,
规则将在指定的秒数内被激活,并在之后被自动移除。
name="dns" audit limit value="1/h" reject' --timeout=300
拒绝所有来自2001:db8::/64子网的主机访问dns服务,并且每小时只审核记录1次日志。
# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source
address=172.25.0.0/24 service name=ftp accept'
允许172.25.0.0/24网段中的主机访问ftp服务
# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" forward-port
to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"'
转发来自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012
~~~~~~
伪装和端口转发(一定要打开masquerade)
伪装:
# firewall-cmd --permanent --zone=< ZONE > --add-masquerade
# firewall-cmd --permanent --zone=< ZONE > --add-rich-rule='rule family=ipv4 source
address=172.25.0.0/24 masquerade'
# firewall-cmd --permanent --zone=< ZONE > --add-forward-port=
port=80:proto=tcp:toport=8080:toaddr=172.25.0.10
# firewall-cmd --permanent --zone=< ZONE > --add-rich-rule='rule family=ipv4 source
address=172.25.0.0/24 forward-port port=80 protocol=tcp to-port=8080'
管理SELinux端口标签
列出端口标签:
# semanage port -l
添加端口标签:
# semanage port -a -t http_port_t -p tcp 82
删除端口标签:
# semanage port -d -t http_port_t -p tcp 82
Lab:
1. reset serverX and desktopX
2. 运行脚本设置serverX: lab selinuxport setup
3. 在serverX上派错后,在desktopX上运行脚本测试: lab selinuxport grade
1905
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
